Rapport mega-hack Singapore Health(juni 2018) door APT verrassend openhartig

/door

hacker

Op 10 januari 2019 publiceerde de onderzoekscommissie uit Singapore een 545 pagina’s lang rapport over de mega-hack van SingHealth. Die afkorting staat voor Singapore Health Services Private Limited. SingHealth bracht op 20 juli 2018 naar buiten dat er persoonsgegevens van anderhalf miljoen patiënten gestolen waren plus nog 160.000 medicatiedossiers van poliklinische patiënten. Het voornaamste doel leek het medische dossier van de premier van Singapore geweest te zijn, Lee Hsien Loong. Verrassend openhartig is het rapport over de toedracht van de mega-hack.  Dat is opmerkelijk aangezien in en over de zorg men meestal niet zo open is over gecompromitteerde data. Het betrof een zeer ingenieuze en met behoorlijke wat hulpmiddelen uitgevoerde cyberaanval die van 23 augustus 2017 tot 20 juli 2018 plaatsvond. De aanval kan beschouwd worden als een Advanced Persistent Threat(APT) die goed voorbereid geweest moet zijn. In 2017 verschafte de hacker zich toegang tot de database van SingHealth,  de SingHealth Sunrise Clinical Manager (SCM) database. Pas in de periode van 27 juni tot en met 4 juli 2018 vond de datadiefstal plaats. Tijdens de periode dat de hacker(s) actief was had men kunnen weten dat er vreemde zaken gaande waren, maar door menselijk falen vond  geen actie plaats.

Lees meer

Raadselachtige spook-incasso door apotheek verontrust patiënt

/door

spook

De afgelopen dagen vond een raadselachtig voorval plaats in het Rijnmondgebied. Een jonge vrouw ontdekte dat van haar ING-bankrekening een bedrag was afgeboekt op basis van een automatische incasso. Zij woont ten zuiden van de Nieuwe Waterweg en heeft daar ook haar vaste apotheek. De incasso kwam van een apotheek ten noorden van de Nieuwe Waterweg op ongeveer 13 kilometer afstand. Nu is het bijzondere dat de patiënt nog nimmer bij de incasserende apotheek geweest is of anderszins als klant daar iets betrokken heeft. De eigen apotheek van de benadeelde vrouw heeft ook niets uitbesteed of ondershands besteld bij de apotheek waar de incasso vandaan lijkt te komen Navraag bij die apotheek maakt het alleen maar raadselachtiger. Men zegt niets af te weten van een bij ING ingediende automatische incasso. Op het bankafschrift is geen referentie te zien over welke verstrekking/levering het gaat, wel een verzekerings- en een factuurnummer. Ook staat er een naam van een patiënt op het rekeningafschrift maar het erbij vermelde verzekeringsnummer blijkt nog uit de tijd voor het ingaan van de zorgwet(2006) te stammen. Lees meer

Foutieve digitale verzending labdata bij dokters met zelfde naam

/door

lab-onderzoek

Een keten is zo sterk als de zwakste schakel. Dat is de bekende conclusie die ook weer toepasselijk was bij de digitale doorgifte van laboratoriumuitslagen richting zorgaanbieders. Enkele dagen terug trok een Twitter-bericht van een huisarts uit het zuiden des lands mijn aandacht. Die meldde dat hij bij herhaling laboratoriumuitslagen uit een groot ziekenhuis kreeg betreffende patiënten die niet bij hem in de praktijk ingeschreven zijn en die hij niet zelf aanvroeg. In het 55 km van zijn praktijk afliggende ziekenhuis werkt wel zijn broer als specialist. Zo af en toe heeft hij er een patiënt onder behandeling of opgenomen. Onveranderlijk ging het om foutief verzonden laboratoriumuitslagen van patiënten van zijn broer die specialist in dat ziekenhuis is. Het gaat hier om medische gegevens die onterecht naar een verkeerde ontvanger gezonden worden, ook al is die ontvanger iemand die onder het medisch beroepsgeheim valt. Het gaat evenals een fax die naar een verkeerde ontvanger gestuurd kan worden om een datalek. Nu vraag je je af hoe zoiets in een sterk geautomatiseerde en geformaliseerde wereld die rond labuitslagen bestaat mogelijk is. Het blijkt zoals eigenlijk altijd te gaan om een menselijke fout.

Lees meer

LSP in huidige vorm ontoereikend om te voorzien in behoefte 2e lijn

/door

Dat het LSP in de huidige vorm ontoereikend is om te voorzien in de behoefte van de tweede lijn is een zeer opmerkelijke uitspraak. Hij is gedaan door medewerkers van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ). VZVZ is verantwoordelijk voor het Landelijk SchakelPunt(LSP). Die uitspraak deden ze op 13 december 2018 tijdens de jaarlijkse bijeenkomst van VZVZ met op het LSP aangesloten ziekenhuizen. Het gebeurt onder het motto “LSP gebruik & beheer voor Ziekenhuizen”. De uitspraak stond op een sheet in de presentatie van drie medewerkers over de over nieuwe ontwikkelingen bij VZVZ in de tweede lijn. Voor de rechtgeaarde criticus van het LSP is de ontoereikendheid van het LSP om ziekenhuizen te bedienen een open deur. Het LSP is in de huidige vorm een verouderd systeem met een sterk verouderde centralistische opzet. Het is niet opgezet volgens “privacy by design”. Het is zoals dat in de IT-wereld heet: een legacy-systeem. Opgezet in 2006 is er telkens wel aan gesleuteld en is de gebruikte software steeds aangepast, maar met blijft zitten met een erfenis uit het verleden. De infrastructuur om het LSP te laten werken is de Aorta-architectuuur. Het concept daarvan dateert van 2002. Voor IT-begrippen zijn het gedateerde ontwerpen.

Lees meer

Elektronische vooraankondiging recept is geen van vervanging digitaal recept

/door

fout

Op 19 december 2019 maakte ik melding van een project in Noord Brabant om de elektronische  vooraankondiging van een recept te gebruiken als vervanging van een digitaal getekend recept.  Het gaat daarbij om het versturen van recepten door specialisten vanuit een ziekenhuis richting de apotheek. Bij de persuitingen over het project meldde men niets over het percentage fouten. Uit eigen cijfers van VZVZ, gepresenteerd op haar “Ziekenhuisdag” op 13 december 2018 blijkt dat een onacceptabel percentage, 5,7 procent(sheet 10 van 19) van de vooraankondigingen van recepten om meerdere redenen niet bij de apotheek aankwam.  De “ziekenhuisdag” had als thema: “LSP gebruik & beheer voor Ziekenhuizen”. Met het Landelijk SchakelPunt(LSP) is het vooralsnog onmogelijk om een digitaal getekend recept te versturen. Daarom proberen diverse belanghebbenden, o.a. de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) als verantwoordelijke voor het LSP,  controlerende instanties zoals de Inspectie Gezondheidszorg en Jeugd(IGJ) ervan te overtuigen dat de vooraankondiging afdoende is. VZVZ geeft  in haar presentatie op 13 december 2019 zelf meerdere oorzaken aan voor dit falen.  Een groot probleem is dat bij het niet arriveren van het  bericht bij de apotheek het LSP het bericht daarna niet nogmaals aanbiedt. Het voor-aangekondigde recept is daarmee elektronisch verdwenen. Als de patiënt geen papieren kopie meer bij zich heeft bij het bezoeken van de apotheek zal deze geen medicatie kunnen verstrekken.

Lees meer